Mentions légales dans le cadre de la Protection des données à caractère personnel
A l’occasion de l’exécution des Prestations, le Prestataire peut être amené à traiter, pour le compte du Client, des données à caractère personnel.
Les données à caractère personnel transmise par le Client au prestataire restent la propriété exclusive du Client.
Le Prestataire opère un traitement des données en qualité de sous-traitant conformément aux dispositions du Règlement général sur la protection des données n° 2016/679 du 27 avril 2016 (ci-après le « Règlement »), pour le compte du Client qui dispose de la qualité de responsable du traitement. Le Client concède donc au Prestataire le droit limité d’exploiter ces données à caractère personnel aux seules fins de l’exécution du présent Contrat.
- Le Prestataire s’engage à respecter l’ensemble des obligations lui incombant en application de la législation en vigueur et notamment du Règlement s’agissant des données à caractère personnel qui lui sont transmises par le Client ou auxquelles il a accès dans le cadre du présent Contrat, et notamment à respecter et faire respecter par son personnel les obligations suivantes :à ne traiter les données à caractère personnel que pour la ou les seules finalités qui font l’objet de la sous-traitance ou sur instruction documentée du Client et pour son seul compte. Le Prestataire ne conserve à ce titre aucune copie des données non nécessaires à l’exécution du Contrat et s’engage à ne pas utiliser les données à d’autres fins que l’exécution des prestations objets du Contrat, pour son compte ou pour le compte de tiers, sous quelque forme que ce soit et à ne pas divulguer ces données à caractère personnel à des tiers, à l’exception des communications rendues absolument nécessaires pour les besoins de l’exécution des prestations ;
- à informer immédiatement le Client s’il estime qu’une instruction constitue une violation du Règlement ou d’autres disposition légales applicables;
- à garantir la confidentialité des données traitées dans le cadre du Contrat et veiller à ce que les personnes autorisées à traiter les données s’engagent à respecter leur confidentialité ou soient soumises à une obligation légale appropriée de confidentialité et reçoivent une information nécessaire en matière de protection des données à caractère personnel ;
- s’il est soumis à cette obligation, à tenir un registre écrit de toutes les catégories d’activités de traitement effectuées pour le compte du Client et à mettre ledit registre à la disposition de l’autorité de contrôle sur demande ;
- s’il est soumis à cette obligation, à désigner un délégué à la protection des données et transmettre au Client ses coordonnées le cas échéant ;
- à mettre en oeuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté, en particulier lorsque les données à caractère personnel sont des données sensibles au sens de l’article 9 du Règlement ;
- à notifier au Client toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, en précisant la nature et l’ampleur de la violation constatée, les conséquences probables de cet incident et les mesures prises ou envisagées afin de remédier à cette violation ou atténuer ses éventuelles conséquences ;
- sur demande du Client, à mettre à sa disposition toute information ou document nécessaire à démontrer le respect des obligations du présent article et des dispositions légales applicables et pour permettre la réalisation d’audits, d’inspections, par le Client ou un tiers ;
- à aider le Client à se conformer aux dispositions légales et à répondre aux obligations qui lui incombent ;
- à traiter dans les meilleurs délais et de manière appropriée toutes les demandes raisonnables émanant du Client relatives au traitement des données à caractère personnel ou en exécution du présent Contrat ;
- à coopérer avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions ;
- à ce que tout traitement des données à caractère personnel effectués dans le cadre du présent Contrat soit réalisé depuis le territoire de l’Union européenne et que ces données ne soient pas transférées vers un pays extérieur à l’Espace économique européen, sans le consentement écrit et préalable du Client. Dans l’hypothèse où les données à caractère personnel seraient transférées vers un pays extérieur à l’Espace économique européen, le Prestataire doit s’assurer que le niveau de protection des données dans le pays de destination est suffisant et conclure un accord reproduisant les clauses contractuelles figurant en annexe de la décision de la Commission en date du 5 février 2010.
- dans l’hypothèse du recours à un second sous-traitant dans les conditions de l’Article [X], à s’assurer et garantir que le second sous-traitant présente des garanties suffisantes quant à la mise en place de mesures techniques et organisationnelles appropriées et plus généralement au respect des règles applicable en matière de données à caractère personne. A cet égard, dans l’hypothèse où le second sous-traitant ne respecterait pas ses obligations, le Prestataire demeure responsable de ses défaillances ;
- au terme de la prestation de services donnant lieu au traitement des données à caractère personnel, à supprimer toutes les données à caractère personnel ou les renvoyer au Client et détruire les copies existantes, selon le choix du Client, à moins que le droit de l’Union ou le droit français n’exige la conservation de ces données.